English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/Korgo.F.var
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/Korgo.F.var - Worm
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
Worm/Korgo.F.var
発見日:
28/10/2005
タイプ
ワーム
感染報告有り
いいえ
感染報告
低
感染の可能性
中
ダメージ・ポテンシャル
中
スタティック・ファイル
はい
ファイル・サイズ
11.391 バイト
MD5 チェックサム
ca47a36342c23f5c291ae4fc6d4f6416
VDFファージョン:
6.32.00.123
- Fri, 28 Oct 2005 10:52 (GMT+1)
一般情報
感染方法
• ローカル・ネットワーク
別名
• Symantec(シマンテック) W32.Korgo.R
• McAfee(マカフィー) W32/Korgo.worm.z
• Kaspersky(カスペルスキー) Net-Worm.Win32.Padobot.gen
• TrendMicro(トレンドマイクロ) WORM_KORGO.Z
• Grisoft Worm/Padobot.AB
• ウイルスバスター Worm.Korgo.Z
• ビットディフェンダー(Bitdefender): Win32.Worm.Korgo.Z
プラットフォーム/OS:
• ウインドウズ 95
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
• ウインドウズ 2003
副作用
• レジストリの改変。
• ソフトの脆弱性を利用します。
• サード・パーティ・コントロール
ファイル
それ自体を以下の場所にコピーします。
•
%SYSDIR%
\
%ランダムな文字列%
.exe
以下のファイルを消去します。
•
%実行されたマルウェアのディレクトリ%
\ftpupd.exe
レジストリ
以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "System Update" = "
%SYSDIR%
\
%ランダムな文字列%
.exe"
以下のレジストリ・キーの値が消えています:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• MS Config v13
• avserve2.exeUpdate Service
• avserve.exe
• Windows Update Service
• WinUpdate
• SysTray
• Bot Loader
• System Restore Service
• Disk Defragmenter
• Windows Security Manager
– [HKLM\Software\Microsoft\Wireless]
• Client
以下のレジストリ・キーが追加されます:
– [HKLM\Software\Microsoft\Wireless]
• "Client" = "1"
• "ID" = "
%ランダムな文字列%
"
ネットワーク感染
感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。
エクスプロイト(Exploit)
以下のエクスプロイト(Exploit)を利用します:
–
MS04-011
(LSASSの脆弱性)
IPアドレス作成
ランダムなIPアドレスを作り、それらと接続しようとします。
感染プロセス
それは、感染した元のコンピュータから侵入先のコンピュータにマルウェアをダウンロードするよう命令を出します。
ダウンロードしたファイルは、侵入先のマシンに以下の名前で保存されます:
%SYSDIR%
\
%ランダムな文字列%
IRC
システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します:
サーバ broadway.ny.us.**********
ポート: 6667
サーバ・パスワード
%ランダムな文字列%
チャンネル #taty
ニックネーム
%ランダムな文字列%
_13
サーバ brussels.be.eu.**********
ポート: 6667
サーバ・パスワード
%ランダムな文字列%
チャンネル #taty
ニックネーム
%ランダムな文字列%
_13
サーバ caen.fr.eu.**********
ポート: 6667
サーバ・パスワード
%ランダムな文字列%
チャンネル #taty
ニックネーム
%ランダムな文字列%
_13
サーバ ced.dal.**********
ポート: 6667
サーバ・パスワード
%ランダムな文字列%
チャンネル #taty
ニックネーム
%ランダムな文字列%
_13
サーバ coins.dal.**********
ポート: 6667
サーバ・パスワード
%ランダムな文字列%
チャンネル #taty
ニックネーム
%ランダムな文字列%
_13
サーバ diemen.nl.eu.**********
ポート: 6667
サーバ・パスワード
%ランダムな文字列%
チャンネル #taty
ニックネーム
%ランダムな文字列%
_13
サーバ flanders.be.eu.**********
ポート: 6667
サーバ・パスワード
%ランダムな文字列%
チャンネル #taty
ニックネーム
%ランダムな文字列%
_13
サーバ gaspode.zanet.**********
ポート: 6667
サーバ・パスワード
%ランダムな文字列%
チャンネル #taty
ニックネーム
%ランダムな文字列%
_13
サーバ graz.at.eu.**********
ポート: 6667
サーバ・パスワード
%ランダムな文字列%
チャンネル #taty
ニックネーム
%ランダムな文字列%
_13
サーバ lia.zanet.**********
ポート: 6667
サーバ・パスワード
%ランダムな文字列%
チャンネル #taty
ニックネーム
%ランダムな文字列%
_13
サーバ london.uk.eu.**********
ポート: 6667
サーバ・パスワード
%ランダムな文字列%
チャンネル #taty
ニックネーム
%ランダムな文字列%
_13
サーバ los-angeles.ca.us.**********
ポート: 6667
サーバ・パスワード
%ランダムな文字列%
チャンネル #taty
ニックネーム
%ランダムな文字列%
_13
サーバ lulea.se.eu.**********
ポート: 6667
サーバ・パスワード
%ランダムな文字列%
チャンネル #taty
ニックネーム
%ランダムな文字列%
_13
サーバ moscow-advokat.**********
ポート: 6667
サーバ・パスワード
%ランダムな文字列%
チャンネル #taty
ニックネーム
%ランダムな文字列%
_13
サーバ ozbytes.dal.**********
ポート: 6667
サーバ・パスワード
%ランダムな文字列%
チャンネル #taty
ニックネーム
%ランダムな文字列%
_13
サーバ qis.md.us.**********
ポート: 6667
サーバ・パスワード
%ランダムな文字列%
チャンネル #taty
ニックネーム
%ランダムな文字列%
_13
サーバ vancouver.**********
ポート: 6667
サーバ・パスワード
%ランダムな文字列%
チャンネル #taty
ニックネーム
%ランダムな文字列%
_13
サーバ viking.dal.**********
ポート: 6667
サーバ・パスワード
%ランダムな文字列%
チャンネル #taty
ニックネーム
%ランダムな文字列%
_13
サーバ washington.dc.us.**********
ポート: 6667
サーバ・パスワード
%ランダムな文字列%
チャンネル #taty
ニックネーム
%ランダムな文字列%
_13
バックドア
以下のポートが開かれます:
– explorer.exe 無作為に選ばれたTCPポート上に HTTPサーバを供給するため
– explorer.exe TCPポートに 3067 バックドアを開くため
挿入(Injection)
– プロセスにリモートスレッドとして挿入します。
プロセス名:|以下のすべて:
• explorer.exe
マルウェアが試みに失敗すると、それはプロセスとして実行し続けます。
成功すると、挿入された部分は実行されたまま、マルウェアは自身のプロセスを終了させます。
その他
Mutex(ミューテック)
以下のMutex(ミューテック)を作成します:
• uterm13i
• u14
• u13i
• u13
• u12
• u11
• u10
• u9
• u8
ファイルの詳細
プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。
ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。
簡単な説明は
ココ
にあります。.
この説明は Iulia Diaconescu によって Tue, 04 Apr 2006 15:13 (GMT+1) 書き込まれました。
この説明は Iulia Diaconescu によって Wed, 05 Apr 2006 10:53 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Bagle.FJ
W32/Elkern.C
Worm/Mytob.DH
Worm/Netsky.D.Dam
Worm/Lovgate.W
TR/Dldr.Agent.aizj
JS/Dldr.Small.CR.2
TR/Dldr.Agent.XAE
JS/Dldr.Agent.bbt
HTML/IFrame.800
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Print this page
.gif)
